身份认证E网关

JIT身份认证网关Gv30 产品白皮书Version 1.0有意见请寄：.cn中国北京市海淀区知春路113号银网中心2层 电话：86-010-62618866 传真：86-010-82610068吉大正元信息技术股份有限公司目录1 前言21.1 应用场景描述21.2 需求分析31.3 术语和缩略语42 产品概述42.1实现原理42.1 产品体系架构组成52.1.1 工作模式和组件描述63 产品功能83.1 身份认证83.1.1 数字证书认证83.1.2 终端设备认证93.1.3 用户名口令认证103.2 鉴权和访问控制103.2.1 应用访问控制103.2.2 三方权限源支持113.3 应用支撑113.3.1 支持的应用协议和类型113.4 单点登录123.5 高可用性123.5.1 集群设定123.5.2 双网冗余133.5.3 双机热备133.5.4 负载均衡134 部署方式144.1 双臂部署模式144.2 单臂部署模式144.3 双机热备部署154.4 负载均衡部署164.5 多ISP部署方式175 产品规格175.1 交付产品和系统配置175.1.1 交付产品形态175.1.2 系统配置和特性186 典型案例196.1 某机关行业19电子通讯行业6.2201前言1.1应用场景描述随着信息化的快速发展，网络内信息应用以其高效、便捷的特点得到广泛应 用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多 的重要业务在网上办理，越来越多的重要信息在网络中传输，如何保护这些重要 资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的 网络应用都存在以下安全隐患：一. 没有有效的身份认证机制：一般都采用用户名+ 口令的弱认证方式，这 种认证用户的模式，存在极大的隐患，具体表现在： 口令易被猜测； 口令在公网中传输，容易被截获；一旦口令泄密，所有安全机制即失效；后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管 理非常困难。二. 数据传输不安全：当前大多网络应用所发放的数据包均是按照TCP/IP 协议为明文方式传输，而Internet的开放性造成传输信息存在着被窃听、被篡 改的安全问题。三. 操作抵赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流， 信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网 络应用亟需解决的一个严重问题1.2需求分析针对以上场景，需要建立一套安全防护系统，为用户提供统一、安全的身份 认证服务，并根据用户提交的身份不同而分配不同的权限，以达到权限最小化分 配。由于业务系统都是独立部署，并且运行在不同的平台上。因此，在确保业务 系统能够独立运行的前提下解决统一身份认证、统一授权的问题，需要满足以下 的需求：应用保护由于应用的复杂性和多样性，需要对使用不同协议的应用进行保护。除了支 持应用层的常用协议外，还要支持所有使用TCP、UDP协议的应用，甚至有些 时候还需要将整个IP全部对用户开放。身份认证除了传统的用户名/ 口令认证外、必须提供高强度的身份认证方式，如 PKI/CA数字证书等，以确保登录的用户确实为授权的个体，消除未授权用户非 法访问的风险。同时，要与用户现有的用户管理系统（如AD、LDAP、RADIUS 等）相结合，并能做到数据同步。在安全性要求更高的场合里，还需要对登录用户的硬件信息进行认证。访问控制允许用户定义合适的安全策略，可以有效保护对专用网络系统及应用的访 问，可以根据用户的不同身份来确定其访问权限。链路加密使用密码技术和隧道协议来提供网络的保密性、认证性及信息完整性。责任认定可以通过提供的个人信息及计算机硬件信息来综合认证用户的身份，并可以 记录下其访问应用的情况，实现不可抵赖特性。当出现安全事故时，也可以确保 合法用户不会被任何非法访问事件所牵连。1.3术语和缩略语缩略语英文中文JIT UMSJIT User Manager System吉大正元统用户管理系统JIT PMSJIT Privilege Manager System吉大正元权限管理系统CACertificate Authority数字证书中心。作为权威的第三方负责发放数字证书CRLCertificate Revoke List证书吊销列表LDAPLightweight Directory Access Protocol轻量级目录访问协议OCSPOnline Certificate Status Protocol在线证书状态协议PKIPublic Key Infrastructure公钥基础设施RARegister Authority审核注册中心SSOSingle Sign-on单点登录SSLSecure Socket Layer安全套接层协议层。它是网景（Netscape）公司提出的基于WEB应用的安全协议2产品概述2.1实现原理吉大正元身份认证网关是提供内部网络的接入控制以及对接入用户进行强 身份认证和审计服务的产品，解决用户使用应用系统时涉及的身份验证、信息保 密、权限控制等安全问题。为网络应用提供以下安全支撑服务：提供数字证书、用户名口令、硬件信息等多种认证方式基于角色的动态用户授权机制基于协议、端口或ip的应用系统保护针对应用系统资源进行细粒度的权限控制高强度的传输链路加密对用户接入应用系统的行为进行全方位监控、追踪和审计该产品基于开放的标准开发，具备良好的兼容性和可扩展性，全面支持PKI/CA （公钥基础设施）系统，实现边界接入网络安全的整体解决方案。产品部署在应用系统与终端用户之间，真正做到了安全和应用的无缝连接， 更易于推广。图2-1身份认证网关2.1产品体系架构组成应用端filter或接口图2.1-1G网关体系架构图2.1.1工作模式和组件描述正元身份认证网关支持主路和旁路两种工作模式，这样能更好的满足用户复 杂的应用接入环境和安全应用需求，在应用安全和应用效率的侧重点上用户可以 自由的选择。2.1.1.1主路工作模式主路模式下用户的业务访问都必须经过身份认证网关，用户只有通过身份认 证网关后才可以访问到后台的业务应用，这是一种业务应用安全需求至上的应用 模式，主路模式的优点在于更强的访问控制和应用网络的地址结构保护。这种模 式的组件主要分为三个部分：网关服务端：负责用户的集中身份认证和通信链路保护以及鉴权访问控 制。网关客户端：部署在用户客户端上，构建客户端与网关服务端的认证桥 梁。应用端接口：解决应用访问的二次认证和应用信息传递的开发接口，如 果用户不关注二次认证和信息传递，则不需要。浏览器数字证书7W客户端代理控件安全佳输协议!应用系统1身份认证网关应用系统2 V -1 * V 4g用系绷目录服务器OCSP服务器ADRADIUS图2.1.1.1-1产品体系架构图2.1.1.2旁路工作模式旁路模式下身份认证网关只负责用户的身份认证，用户一旦通过身份认证后 其与业务的通信交互则与网关无关，这是一种应用效率至上的应用模式，旁路模 式的优点在于更高效的集中身份认证效率，对应用访问的瓶颈影响最小，这种模 式的组件主要分为四个部分：网关服务端：负责用户的集中身份认证和鉴权信息传递。 客户端API： C/S架构应用下的认证请求发起。应用端接口：负责转发客户端的认证请求到网关服务端。图 2.1.1.2-2 （B/S 应用）图 2.1.1.2-3 （C/S 应用）3产品功能3.1身份认证311数字证书认证系统支持PKI/CA数字证书认证方式，对PKI全面支持，包括以下方面:用户数字证书完整性验证验证证书基本信息，包括有效期、信任域、证书状态。 CRL更新系统支持动态更新CRL，并支持WEB站点下载、LDAP服务器下载、 及手工导入三种更新模式。 支持OCSP证书验证方式系统支持OCSP协议进行证书状态验证。支持标准的证书载体支持PKCS#12标准证书和各种具备标准CSP的硬件KEY。支持证书链支持由多级CA颁发的证书。支持单、双向认证选择系统不仅支持使用证书对服务器身份进行认证，也支持使用证书对客户 端身份进行认证。可以通过配置为单向、非强制双向、双向三种认证方 式，设置用户是否需要提交证书。支持多信任域认证同时支持多个证书颁发机构颁发的证书。兼容多家厂商证书系统基于开放标准开发，支持多种证书，包括国内所有区域CA。3.1.2终端设备认证系统能够对接入客户端设备特征进行认证，只有认证的设备才能成功接入。系统采用硬件特征码标识接入终端设备，硬件特征码包括：MAC地址和硬 盘序列号。如果开启了硬件注册功能，则用户在访问网关时，需提交个人的硬件 信息，由管理员审核通过后方可登录网关。网关的主机绑定功能，强制用户只能从指定主机接入网关才能够成功。接入 主机的高可信度提高了应用访问的安全性，同时，在确认该主机安全的情况下， 也绝对防止了非法用户盗用用户帐号后从其他主机访问网关的非法行为。3.1.3用户名口令认证系统支持联合吉大正元统一用户管理系统（JIT UMS），可以通过连接UMS获 取用户账号信息完成用户认证操作，同时增加验证码机制防止恶意登录。3.2鉴权和访问控制3.2.1应用访问控制正元G网关支持访问控制模板设置，管理员可以通过配置策略模板，授权用 户对应用系统的访问，应用入门级控制可以配置以下几种策略：全局默认策略控制当应用没有配置具体的访问控制策略时，网关通过全局默认策略进行访 问控制，全局默认策略的优先级最低。根据用户认证方式控制可以根据用户认证等级策略控制用户对应用的访问权限。认证等级分为 口令认证、数字证书认证、口令+数字证书认证。 根据数字证书DN规则控制管理员可以根据用户数字证书，设置DN项规则策略，限制某个或某一 群组用户对应用的访问。系统采用黑、白名单的形式设置策略，DN规则 配置灵活，支持通配符。根据时间段规则控制管理员可以根据时间段规则策略控制某一时间段内，允许访问应用或者 禁止访问应用根据IP地址规则控制管理员可以根据IP地址规则策略控制某一 IP地址或某一 IP区间段允许 访问应用或者禁止访问应用。根据用户名控制管理员可以根据用户名策略控制某一用户允许或者禁止访问应用3.2.2三方权限源支持正元G网关支持从JIT UMS （统一用户管理系统）和JIT PMS （统一权限 管理系统）中获取应用入门级或细粒度访问控制权限。其业务流程为：用户通过 身份认证网关的认证，网关连接UMS或PMS查询该用户在应用中的全局权限 设定，再配合网关自身的访问控制策略模板统一的进行鉴权和访问控制。3.3应用支撑3.3.1支持的应用协议和类型3.3.1.1基于TCP/UDP的任意协议网关支持多种基于TCP/UDP的web或Client/Server结构的应用系统。管 理员只需通过简单的管理接口在服务器上定义需要支持的应用，及配置好服务器 使用的端口。网关也支持多种使用动态端口的应用协议，比如FTP, TFTP, Oracle, SQL server等。这些特性使得网关能够最大程度的满足用户的应用需求。3.3.1.2灵活安全的应用服务定义在网关中，定义一个服务需要指定服务所在的地址，端口，服务类型，应用 访问控制规则(Application Access Control Rule)，关联的客户端应用程序，是否 隐藏服务，服务应用到的角色等。在地址的定义方式上，管理员有三种选择：完整的域名、IP地址或者主机 名IP地址。这三种地址指定方式可以满足多数应用的需求。在网关的服务定义中可以添加多个端口。这种方式满足了那些在一台服务器 上配置多个应用服务的应用需求，同时也可以部分的解决使用动态端口的应用系 统的需要。对于多台服务器提供同一个服务的情况，管理员其实希望只让用户看到其中 的一个服务器即可，不必了解具体有多少服务器在同时提供服务。针对这种要求， 网关为每一个服务提供了一个开关。根据这个开关的设置，网关就知道该给用户 显示哪个服务，而把其他的作为备份的服务器隐藏起来。3.4单点登录系统支持多个应用系统之间的单点登录，即一次登录，多次使用。用户通过 网关认证后，系统认证平台通过安全Cookie机制维护该用户的会话信息，用户 登录应用系统时，无需再次认证。极大的简化了用户登录应用系统的步骤，使应 用更加流畅。在多台G并行的应用环境下，如果一个用户拥有访问所有应用系统的权限， 那么该用户只需要访问一台网关后面的一个应用即可实现全网关后应用的单点 登录。3.5高可用性3.5.1集群设定G网关支持集群设定，加入集群的网关会自动同步配置和业务session信息， 这其中包括用户认证信息和数据缓存等。3.5.2双网冗余G网关支持桥模式的配置部署方式，可以很好的适应有双网冗余灾备考虑的 用户网络环境3.5.3双机热备网关内置双机热备系统，采用主备机模式，主机（处于工作状态的机器）与 备机之间通过网口连接心跳线，用于监听对方机器是否处于正常工作状态，当备 机发现工作机停止工作时，通过自己的双机功能将主机的服务切换到备机，由备 机继续提供服务。当主机恢复正常后，服务自动切回到主机。双机热备功能用于解决安全认证网关的单点故障问题，对后台受保护的应用 系统提供更可靠的安全认证等服务。双机热备的G网关不仅同步配置信息，还包括业务日志信息。3.5.4负载均衡由于G网关支持自身集群设定，故在与第三方负载均衡设备的配合下能有效 实现业务无间断，即假设集群内有一台设备宕机了也不会出现要求已连接用户进 行二次重新认证的情况。4部署方式4.1双臂部署模式图4-1双臂模式部署图直连部署模式将网关以串接的方式连入网络中，成为内外网通讯的唯一路 径。4.2单臂部署模式图4-2单臂模式部署图单臂部署模式将网关与内外网络的接口连接在一个交换机上。它的接入无需 修改现有的网络拓扑，可根据需求灵活接入。但是，用户通过网关访问被保护服 务的数据流还是主路的，是必须要经过网关的。4.3双机热备部署图4-3双机热备部署图主机-备机模式：当主机DOWN掉后，备机自动切换成主机提供服务，保证 网络连通性。4.4负载均衡部署图4-4负载均衡部署图三方负载模式：1、正元G网关支持集群设定，同步业务session和配置信息，可与三方负 载均衡设备联合部署，由三方负载均衡设备进行业务流负载分配。4.5多ISP部署方式身牛版务器0A酗*.Web图4-5多ISP部署图在用户的网络接入环境中，如果存在电信、网通以及移动等多个ISP来提 供网络服务，不同的运营商提供不同的网络链路以及IP地址，这样用户在跨运 营商访问网关时的速度会很慢。针对这种情况，网关提供多个外网接口，可分别配置为不同运营商提供的IP 地址。这样用户在访问网关时，由客户端组件计算选择较好的链路进行连接，保 证客户端的连接速度，保证用户使用体验的质量。5产品规格5.1交付产品和系统配置5.1.1交付产品形态产品名称产品形态客户端支持的操作系统类型| 吉大正元身份认证网关 硬件WindowsXP/2003/Vista/Win7表5.1.1-1交付产品表512系统配置和特性参数型号G2000-EG3000-EG5000-E设备高度1u3u3u网卡2千兆电口4千兆电口4千兆电口2千兆光口电源容量单电源单电源冗余电源电源功耗300W300W500W设备自重6 Kg10 Kg尺寸规格390*430*44(mm)500*430*132(mm)6典型案例6.1 某机关行业机关外两员我均街欲据艾挟区机关内网内网|眼务粗图6.1-1某机关网络中的典型应用上图为身份认证网关在某机关网络内部的应用拓扑。在机关内部办公网上有 许多应用系统，需要对内部办公人员提供服务，同时也有部分系统需要给其下属 单位的部分人员开放相应的权限。在原来的网络结构中，应用系统如果映射在外 部网络上，则相当于直接暴露在互联网上。虽然有用户名密码的认证机制，但还 是大大降低了机密数据的安全性，并且也没有一个更好地记录访问过程的机制， 不利于日后的审计工作。吉大正元的身份认证网关很好的解决了上述问题。通过在外网接入区与应用 系统之间串联接入网关设备，可以对每个访问应用系统的人员进行身份认证，并 可以对不同的身份分配不同的访问权限，拒绝未经授权的用户访问应用系统，并 记录下每个用户访问的经过，全面保障了应用系统的安全性。网关采用的是硬件USB key （内含个人数字证书）和计算机硬件特征码（内 含硬盘、网卡等信息）双重的认证方式，保证了登录用户的唯一性和不可伪造性。 同时根据证书中的不同属性值，分配不同的访问权限，保证了应用的权限最小化。6.2电子通讯行业图6.2-2某电子集团公司典型应用上图为某电子通讯行业集团公司总部与其下属分部连接的网络部署图。在该 总部网络里，有很多应用服务器，需要对全国各地的下属子公司和分部提供服务。 如果将服务器全部映射到公网上，安全性没有保障。单独采用VPN接入的方式， 虽然可以解决接入安全的问题，但没有一个明确的权限分配策略，使每个接入进 来的用户都可以访问所有的应用服务器，所以也不能满足实际的需求。吉大正元的身份认证网关很好的解决了上述问题。通过网关的“端对端互联” 功能，用户先登录分部自己的网关进行认证和授权，有权限的用户，可以直接访 问总部内的应用资源，而不必关心总部与分部间的IP地址分配及网络互联等问 题。并且，总部和各分别之间是建立的加密隧道，所有数据都在加密隧道中传输。 这样，既解决了总部的应用资源对各分部共享的问题，也避免了数据在公网上传 输的安全性问题。Copyright20011吉大正元信息技术股份有限公司版权所有非经本公司书面许可，任何单位与个人不得擅自摘抄、复制本文档的部分或全部内容，并不得以任何形式传播 本文档以提供信息为目的，所含信息可随时更改，恕不另行通知